Adobe Reader XとXIにゼロデイ脆弱性 | スラドセキュリティ

Adobe Reader XとXIにゼロデイ脆弱性 18

ストーリー by headless 2012年11月11日 13時22分
脆弱部門より

あるAnonymous Coward 曰く、

Adobe Reader X/XIで、サンドボックスを迂回してシェルコードが実行可能となるゼロデイ脆弱性が発見され、ロシアのセキュリティー企業Group-IBが注意を呼び掛けている(Group-IBのニュース記事、 Krebs on Securityの記事、 Computerworldの記事、 INTERNET Watchの記事、 ITmediaの記事)。

この脆弱性は、細工したPDFファイルを読み込ませることで利用可能となる。攻撃ツールキット「Blackhole Exploit Kit」の改変版にも、この脆弱性を利用する機能が含まれているとのこと。ただし、シェルコードが実行できるのはWebブラウザーまたはAdobe Readerを終了するときだけだという。Adobe Reader側でJavaScriptを無効化していてもサンドボックスを迂回できるため、攻撃を回避するにはAdobe以外のPDFリーダーを使用するしかないようだ。AdobeはGroup-IBからまだ連絡を受けておらず、脆弱性の詳細については不明としている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索18コメント Log In/Create an Account

「X1」に空目 (スコア:1, オフトピック)

by ymitsu (31883) on 2012年11月11日 13時20分 (#2270103)

Sharp X1にバグが！？これはクリーンコンピュータの真価を発揮する時が来た
…ああ、Adobe Acrobatってもう「XI」までバージョンアップしてたんですか。
そもそも (スコア:0)

by Anonymous Coward on 2012年11月11日 14時21分 (#2270127)

Adobe ReaderやAcrobatの脆弱性を突くPDFウイルスにご注意を [srad.jp]
フォームとか JavaScript とか 3D オブジェクトとか動画とかまで使っている PDF データって Adobe Reader のサンプルデモ以外にありますか?
- Re:そもそも (スコア:1)
  
  by Anonymous Coward on 2012年11月11日 14時37分 (#2270131)
  
  3DはCADデータを顧客に見せるのに結構使われてると思う。
  で、3DをグリグリするにはJavaScriptを一時的に有効にする必要がある。
  サードパーティが3DをサポートしてくれればAdobe Readerとは完全に離れられるんだけど。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    プレゼン用端末でインターネットに繋ぐやつを死刑にすればいいんじゃね
- Re: (スコア:0)
  
  by Anonymous Coward
  
  フォームはお役所書類で1,2件だけ見たことがあるなあ．
  あと，動画込みの pdf はプレゼンで頻繁にみる．日本人より外人(というかヨーロッパの奴ら)の方が使ってる印象だな．
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    日本人ならPDFよりパワポを使うからじゃね。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      それはある．最近はポワポ使いもセンスが良くなってて，感心することしきり．
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ここをクリックというリンク先に置いとけくのは、クラッカーの勝手
- JIS (スコア:0)
  
  by Anonymous Coward
  
  無料で閲覧できるJISのPDFには、ドキュメントの位置がJISのWEBサイトであるときだけ白い覆いを消すようなJavaScriptが入っていますね。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    pdf.jsだとなぜか普通に表示される(PDFのJavaScriptには対応していないはず)
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      あーあ、言っちゃった…
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        古いGhostScriptでも表示されてた(いつごろからか白い覆いが「ちゃんと」表示されるようになった)ので、「JIS規格表新機能使いすぎ!」ってことでいいのだろうか。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  じゃあこれも貼っとこう
  http://it.srad.jp/comments.pl?sid=491899&cid=1749989 [it.srad.jp]
  HTMLもPDFを笑ってられないべ。
  > ムービーや歌を埋め込むことができる。
  HTML5 video/audio
  > 3Dオブジェクトを含むことができ、
  WebGL
  > Embedded JavaScriptを完備
  言うまでもない。
  > フォームが我々の入力したデータを、ネット上のどこかにあるサーバへ直接サブミットできる機能
  Web Forms
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ウイルスでよくあるんじゃない？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  　フォーム(FDF)は10年以上前から社内で普通に使っています。
  　定型の帳票印刷が求められて、かつRDBMSでデータ管理をおこないたい場合簡単に実装できて便利です。昔はExcelでフォームを作っていたようなものが順次置き換わったような状況です。
  
  　WebアプリならPerlだろうがASP.NETだろうが連動できますし、メール添付でフォームだけ送ってXFDFでデータだけ返送してもらうこともできるなど柔軟性もありますし。
  
  　非定型の帳票はApache Cocoonとかで吐き出したりしています。
  　他にはExcelCreatorとかVB-Reportとかも使います。皆さんはPDF生成にどんな手法を使われていますか？
しばらく前から (スコア:0)

by Anonymous Coward on 2012年11月11日 22時44分 (#2270349)

Sumatra PDFしか使ってない。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  PDFは昔からサードのビューアの方が使い易いよね。
  ある意味正しい姿な気がするけど、行儀重視の環境にはサード製のビューアとかは入れ辛いのが困る。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Windows 8なら標準の「リーダー」アプリで読める…のだが、切り替えて参照しながら作業するとか事実上できないのは厳しすぎる。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「X1」に空目 (スコア:1, オフトピック)

そもそも (スコア:0)

Re:そもそも (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

JIS (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

しばらく前から (スコア:0)

Re: (スコア:0)

Re: (スコア:0)